Notices by h12o (h12o@mastodon.tokyo)

フルスタックエンジニア
フラレスタックエンジニア

#なにそれ #何それ

きょうは豆屋から仕入れたフルッタ・メルカドンを飲んだのだけど、一緒に飲んだツマが「これ、いつものと違うね」（いつもの=ミケランジェロ）と言うので「フルッタ・メルカドンという豆で……」と言ったら

「……震えた……プテラノドン?」

と返してきた。

mixi2が友達招待キャンペーンだそうで、貼っておきますね。このリンクを踏んで参加すると、ご新規さんも僕も猫リアクションがもらえるらしい。何がなんでもほしいというわけではありませんが、悪いキャンペーンではないと思うので、乗っておきます。

h12oからの #mixi2 招待🎟️
一緒にはじめよう!🚀
https://mixi.social/invitations/@h12o/D2a2vTDQmRnJuG6UwFMEsH

以前

「最近はiPhoneの壁紙をiFixitの分解写真ないしスキャン写真にしているのだけど、MacBookでもこれがほしいと思っている。」

と書いたのだけど、すごく冷静に考えるとノートPCのディスプレイの「裏」には何もない——強いていえば天板しかないわけで、どうりでiFixitにそんな壁紙などないわけだと思い至って苦笑しかしていない。

https://mastodon.tokyo/@h12o/113789946252250856

h12oからの #mixi2 招待🎟️
一緒にはじめよう！🚀
https://mixi.social/invitations/@h12o/2DcKLiTgUtfJf5XM32qxMd

コーヒー買うか。

【100g3種類】焙煎度合いが選べるお楽しみセット【合計300g】を購入しました! https://thebase.in/to/item?item_id=82680413 #BASEec @nelsoncoffeeroaster から

ずんださんのひつまぶしですか。

#違う #違うそうじゃない

スパム以前の話なのですが、

よく分からないQRコードはスキャンしちゃダメよ? おじさんとの約束だ。

（スパムとは関係ないけど、この前実家の両親にも同じことを言ってきた）

https://softantenna.com/blog/xz-backdoor/ では
>>
プロジェクトに長年貢献しているJiaT75氏によって行われた変更であることは分かっていますが、意図的に行われたのか、システムの不正アクセスによって行われたのかはまだはっきりとしていません。
<<
とのことだが、『Everything I Know About the Xz Backdoor』ではJiaT75氏に疑いの目を向けているようだ。

#NowReading https://boehs.org/node/everything-i-know-about-the-xz-backdoor

@fujii_yuji 節子それ賞味期限やない、消費期限や

Mastodon v4.2.8にアップデートしたときには気づかなかったけど、v4.2.8を`development`環境で新規インストールして`db:setup`すると、`admin`のアカウントが管理者の承認待ちになってしまう（笑）。
https://github.com/mastodon/mastodon/releases/tag/v4.2.8

@zundan まずはコードーを起こせと……（おっさんは黙って

各位

プロバイダ責任制限法のQ&Aに、発信者情報開示請求についても書かれていますので、参考にしてください。

https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/ihoyugai_04.html#qa14

（「発信者情報開示請求」で検索すると、弁護士法人や弁護士事務所のサイトが多く引っかかりますがいわゆるSEO的「お役立ち情報」の類なので、まずはgo.jpを見ましょう）

#Mastodon が依存するRailsパッケージのひとつ、sidekiq-unique-jobsのXSS sidekiq-unique-jobs UI server vulnerability（ GHSA-cmh9-rx85-xj38 , CVE-2024-25122）等の対応でMastodon v4.2.6・v4.1.14・v4.0.14・v3.5.18がリリースされています。

今回は攻撃概念実証（PoC）も出ているので攻撃はすぐにでも始められてしまうため、急ぎアップデートが求められます。

- v4.2.6 https://github.com/mastodon/mastodon/releases/tag/v4.2.6

5月の第十回技術書同人誌博覧会と技術書典16に出す予定の同人誌

『実践的に学ぶ 安全なMastodonサーバーの作り方』

について、レビューアを若干名募集しようかと思っています。ご興味のある方はご返信ください（公開の返信でも非公開の返信でも問題ありません）。

- サークルのDiscordサーバーにある専用のチャンネルを使います。チャンネルでは内容案、目次案、執筆スケジュールを宣言しながら原稿を一区切りごとにアップしてご意見を募るようにします。
- 謝礼・献本はありませんが謝辞は記します。レビューの義務は発生しません。チャンネル内で喧嘩をすることだけはおやめください（モデレーションせざるを得なくなった場合、執筆の妨げになるためです）。
- 技術書ですがレビューアの技術理解度は問いません。

@hyoyoshikawa なるほど、AIによるまとめがあるのですね。私はこのAIによるまとめには疑問を持っています。

私は、Tenableの「Mastodon is a free, open-source social network server based on ActivityPub Mastodon allows configuration of LDAP for authentication.」と「Due to insufficient origin validation in all Mastodon, attackers can impersonate and take over any remote account.」は意味が連続していないと考えています。また、MastodonがLDAP認証に対応していることは確かですが、GHSA-3fjr-858r-92rwにはLDAPに関する言及がありません。

リンクは今回の修正コミットなのですが、LDAPではなくActivityPubまわりの修正であるように見えるのです。
https://github.com/mastodon/mastodon/commit/1726085db5cd73dd30953da858f9887bcc90b958

@hyoyoshikawa ご確認ありがとうございます。

Tenableの文章で、ピリオドがあって然るべきところがないように見受けられる箇所があったので、そこが原因かもしれません。

@hyoyoshikawa すみませんが質問です。diffとリンク先からは「問題は、Mastodon内のLDAP認証設定において、認証リクエストの起源を適切に検証していない点にあります。」とは読み取れなかったのですが、どの辺りを訳されたか知りたいと思っています。

脆弱性の詳細は私自身把握していない（把握していたとしても公式情報以上は書かない）のですが、MastodonのLDAP連携機能に脆弱性があるのだとすると、攻撃条件が複雑になってCVSSがそこまでは上がらないのでは?と思っているとともに、大多数のサーバーは影響を受けないとも考えていて、私の頭の中で整理がついていません……